TikTok因数据跨境被爱尔兰罚5.3亿欧元
爱尔兰数据保护委员会(Irish Data Protection Commission)对TikTok处以5.3亿欧元罚款,并在对欧洲经济区用户数据传输至中国一事展开调查后责令其采取纠正措施
爱尔兰数据保护委员会今日宣布了对TikTok科技有限公司(“TikTok”)展开调查后的最终决定。此次调查由数据保护委员会发起,该委员会作为TikTok的主要监管机构,旨在审查TikTok将欧洲经济区(EEA)TikTok平台用户的个人数据传输至中华人民共和国(“中国”)这一行为的合法性。
此外,该调查还审查了TikTok就此类数据传输向用户提供的信息是否符合《通用数据保护条例》(GDPR)所要求的透明度标准。
数据保护专员德斯·霍根博士和戴尔·森德兰先生做出了这一决定,并已通知TikTok。
调查结果认定,TikTok在将欧洲经济区用户数据传输至中国的行为以及其透明度方面违反了《通用数据保护条例》。该决定包括总计5.3亿欧元的行政罚款,以及一项要求TikTok在6个月内使其数据处理合规的命令。该决定还包括一项命令,即如果在规定时间内未能实现数据处理合规,将暂停TikTok向中国传输数据。
数据保护委员会副专员格雷厄姆·多伊尔评论道: “《通用数据保护条例》要求,当个人数据被传输至其他国家时,欧盟境内所提供的高水平保护应继续适用。 TikTok向中国传输个人数据的行为违反了《通用数据保护条例》,因为TikTok未能核实、保证并证明中国员工远程访问的欧洲经济区用户的个人数据,能获得与欧盟境内所保障的基本相当的保护水平。 由于TikTok未能进行必要的评估,TikTok没有解决中国当局根据中国反恐、反间谍及其他TikTok认定与欧盟标准存在重大差异的法律,可能对欧洲经济区个人数据进行访问的问题。”
数据保护委员会于2025年2月21日,按照《通用数据保护条例》第60条的要求,向《通用数据保护条例》合作机制提交了一份决定草案。对于该决定草案,未收到任何反对意见。爱尔兰数据保护委员会感谢欧盟/欧洲经济区其他监管机构在本案中的合作与协助。
调查中提交的错误信息 在整个调查过程中,TikTok告知爱尔兰数据保护委员会,其未将欧洲经济区用户数据存储在中国的服务器上。然而,在2025年4月,TikTok告知数据保护委员会其在2025年2月发现的一个问题,即实际上有少量欧洲经济区用户数据曾被存储在中国的服务器上,这与TikTok在调查中提供的证据相悖。TikTok告知数据保护委员会,这一发现意味着TikTok向调查提供了不准确的信息。
副专员多伊尔补充道: “数据保护委员会非常严肃地对待近期发现的欧洲经济区用户数据存储在中国服务器上的情况。尽管TikTok已告知数据保护委员会这些数据现已被删除,但我们正与欧盟其他数据保护机构协商,考虑是否需要采取进一步的监管措施。” 数据保护委员会将在适当的时候公布完整的决定及更多相关信息。
《通用数据保护条例》在整个欧洲经济区范围内为个人数据提供了高水平的保护,并赋予个人数据保护权利。当个人数据被传输至欧洲经济区以外的地区时,这可能会妨碍个人行使权利的能力,并绕过这种高水平的保护。因此,至关重要的是,在进行此类数据传输时,《通用数据保护条例》所确保的保护水平不应被削弱。因此,只有在符合《通用数据保护条例》第五章规定的条件下,个人数据传输才能进行。这确保了当个人数据被传输至第三国时,欧盟境内所提供的高水平保护能够得以延续。
《通用数据保护条例》第45(1)条规定,将个人数据传输至第三国,可由欧盟委员会作出决定予以批准,前提是该第三国、某一领土或该第三国内的一个或多个特定部门,能确保提供充分的保护水平(“充分性决定”)。
到目前为止,欧盟委员会已就安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国、美国和乌拉圭作出了充分性决定。 根据《通用数据保护条例》,当一个组织(“数据控制者”)打算将个人数据从欧盟/欧洲经济区传输至第三国,且欧盟与该第三国之间不存在充分性决定时,只有在满足《通用数据保护条例》(第五章)的其他适用规定(如标准合同条款)的情况下,此类数据传输才能进行。这些规定要求相关组织负责核实、保证并证明该第三国的法律和实践能够保障与欧盟境内基本相当的保护水平。
[2] 数据保护委员会关于数据传输合法性的调查结果
在此次调查中,TikTok爱尔兰公司被要求评估中国法律是否能保障与欧盟法律基本相当的保护水平。调查决定认定,TikTok向中国传输数据的行为违反了《通用数据保护条例》第46(1)条,因为它未能核实、保证并证明补充措施和标准合同条款(“SCCs”)能有效地确保通过远程访问传输的欧洲经济区用户的个人数据,获得与欧盟境内所保障的基本相当的保护水平。虽然TikTok坚称通过远程访问进行的数据传输不受相关法律和实践的约束,但TikTok在调查期间向数据保护委员会提供的对中国法律的自身评估,阐述了中国法律框架的某些方面如何排除了与欧盟法律基本等同的认定。数据保护委员会考虑了这一评估,以及TikTok认定的与欧盟标准存在重大差异的中国法律,如《反恐怖主义法》《反间谍法》《网络安全法》和《国家情报法》。 特别是,数据保护委员会发现,TikTok未能充分评估中国法律和实践对作为传输对象且在中国进行处理的欧洲经济区用户个人数据所提供的保护水平,这不仅直接影响了TikTok选择适当保障措施和补充措施的能力,还使其无法核实和保证基本相当的保护水平。 在行使纠正权力时,数据保护委员会还考虑了TikTok在“三叶草项目”下所做出的持续改进措施。尽管有这些改变,数据保护委员会仍认定,下令暂停数据传输,并要求TikTok在对数据保护委员会最终决定的上诉期结束后的6个月内,使其数据处理操作符合《通用数据保护条例》第五章的规定,是适当、必要且合理的。数据保护委员会认为,6个月是在这种情况下让TikTok停止数据传输的合理期限。
《通用数据保护条例》第13(1)(f)条要求数据控制者向数据主体提供关于该控制者将个人数据传输至第三国的信息。数据保护委员会审议了TikTok 2021年10月的欧洲经济区隐私政策,发现该政策在《通用数据保护条例》第13(1)(f)条所规定的两个关键方面存在不足。 首先,TikTok 2021年的隐私政策未提及个人数据被传输至的包括中国在内的第三国的名称。其次,2021年的隐私政策没有解释构成数据传输的数据处理操作的性质。具体而言,2021年的隐私政策未能明确说明数据处理包括中国的人员对存储在新加坡和美国的个人数据进行远程访问。
TikTok在调查过程中更新了其隐私政策,并向数据保护委员会提供了2022年12月的欧洲经济区隐私政策。该隐私政策确实指明了欧洲经济区用户数据被传输至的第三国。该隐私政策还告知欧洲经济区用户,个人数据存储在美国和新加坡的服务器上,并且TikTok企业集团中位于巴西、中国、马来西亚、菲律宾、新加坡和美国的实体可对这些数据进行远程访问。 数据保护委员会评估认为,就该决定所涉及的数据传输范围而言,TikTok 2022年12月的欧洲经济区隐私政策符合《通用数据保护条例》第13(1)(f)条的要求。因此,该决定中关于违反《通用数据保护条例》第13(1)(f)条的持续时间,是指从2020年7月29日至2022年12月1日这一期间。 数据保护委员会在该决定中总共处以5.3亿欧元的行政罚款,其中4500万欧元是因违反《通用数据保护条例》第13(1)(f)条的罚款,4.85亿欧元是因违反《通用数据保护条例》第46(1)条的罚款。
以上就是小编为您分享《TikTok因数据跨境被爱尔兰罚5.3亿欧元》的全部内容,更多有关湖南华人最新消息、新闻,请多多关注华人头条国际频道。您还可以下载我们的手机APP,每天个性化推荐你想要看的华人资讯!
免责申明
1、本站(网址:52hrtt.com)为用户提供信息存储空间等服务,用户保证对发布的内容享有著作权或已取得合法授权,不会侵犯任何第三方的合法权益。
2、刊载的文章由平台用户所有权归属原作者,不代表同意原文章作者的观点和立场。
3、因平台信息海量,无法杜绝所有侵权行为,如有侵权烦请联系我们(福建可比信息科技有限公司 邮箱:hrtt@52hrtt.com),以便及时删除。
闽公网安备35010202000536号